screenos-體系結(jié)構(gòu)

1、第1章ScreenOS體系結(jié)構(gòu)JuniperwksScreenOS體系結(jié)構(gòu)為網(wǎng)絡(luò)安全布局的設(shè)計提供了靈活性。在具有兩個以上接口的Juniperwks安全設(shè)備上，可以創(chuàng)建多個安全區(qū)段并配置策略以調(diào)節(jié)區(qū)段內(nèi)部及區(qū)段之間的信息流?？蔀槊總€區(qū)段綁定一個或多個接口，并在每個區(qū)段上啟用不同的管理和防火墻選項。利用ScreenOS可以創(chuàng)建網(wǎng)絡(luò)環(huán)境所需的區(qū)段數(shù)、分配每個區(qū)段所需的接口數(shù)，并且可以根據(jù)自己的需要來設(shè)計每個接口。本章對ScreenOS進(jìn)行了

2、簡要介紹。本章包括以下部分:?第2頁上的“安全區(qū)段”?第3頁上的“安全區(qū)段接口”?第4頁上的“虛擬路由器”?第5頁上的“策略”?第7頁上的“虛擬專用網(wǎng)”?第9頁上的“虛擬系統(tǒng)”?第10頁上的“封包流序列”?第12頁上的“巨型幀”本章結(jié)束時給出了一個由四部分組成的范例，它例舉了使用ScreenOS的安全設(shè)備的基本配置:?第13頁上的“范例:(第1部分)具有六個區(qū)段的企業(yè)”?第15頁上的“范例:(第2部分)六個區(qū)段的接口”?第17頁上的“范

3、例:(第3部分)兩個路由選擇域”?第19頁上的“范例:(第4部分)策略”概念與范例ScreenOS參考指南2?安全區(qū)段安全區(qū)段安全區(qū)段是由一個或多個網(wǎng)段組成的集合，需要通過策略來對入站和出站信息流進(jìn)行調(diào)整(請參閱第5頁上的“策略”)。安全區(qū)段是綁定了一個或多個接口的邏輯實體。通過多種類型的Juniperwks安全設(shè)備，您可以定義多個安全區(qū)段，確切數(shù)目可根據(jù)網(wǎng)絡(luò)需要來確定。除用戶定義的區(qū)段外，您還可以使用預(yù)定義的區(qū)段:Trust、Untr

4、ust和DMZ(用于第3層操作)，或者V1Trust、V1Untrust和V1DMZ(用于第2層操作)。如果愿意，可以繼續(xù)使用這些預(yù)定義區(qū)段。也可以忽略預(yù)定義區(qū)段而只使用用戶定義的區(qū)段。另外，您還可以同時使用這兩種區(qū)段預(yù)定義和用戶定義。利用區(qū)段配置的這種靈活性，您可以創(chuàng)建能夠最好地滿足您的具體需要的網(wǎng)絡(luò)設(shè)計。請參閱圖2。圖2顯示了配置有五個安全區(qū)段的網(wǎng)絡(luò)三個缺省區(qū)段(Trust、Untrust、DMZ)和兩個用戶定義的區(qū)段(Financ

5、e、Eng)。信息流只有在策略允許時才能由一個安全區(qū)段傳遞到另一區(qū)段。圖2:預(yù)定義安全區(qū)段注意:無需任何網(wǎng)段的安全區(qū)段是全域區(qū)段。(有關(guān)詳細(xì)信息，請參閱第26頁上的“Global區(qū)段”。)另外，任何區(qū)段，如果既沒有綁定到它的接口也沒有通訊簿條目，則也可以說它不包含任何網(wǎng)段。如果是從ScreenOS的早期版本進(jìn)行升級，則這些區(qū)段的所有配置將保持不變。注意:802.1Q是一個IEEE標(biāo)準(zhǔn)，它定義了實現(xiàn)虛擬橋接LAN的機(jī)制以及用來通過VLAN

6、標(biāo)記指示VLAN從屬關(guān)系的以太網(wǎng)幀格式。概念與范例ScreenOS參考指南4?虛擬路由器虛擬路由器虛擬路由器(VR)的功能與路由器相同。它擁有自己的接口及自己的單播和組播路由表。在ScreenOS中，安全設(shè)備支持兩個預(yù)定義的虛擬路由器，這將允許安全設(shè)備維護(hù)兩個單獨的單播和組播路由表，同時隱藏虛擬路由器彼此之間的路由信息。例如，untrustvr通常用來與不可信方進(jìn)行通信，并且不含有保護(hù)區(qū)段的任何路由信息。保護(hù)區(qū)段的路由信息由trustv

7、r進(jìn)行維護(hù)。因此，通過從untrustvr中秘密提取路由的方式，收集不到任何內(nèi)部網(wǎng)絡(luò)信息，請參閱圖3。圖3:虛擬路由器安全區(qū)段安全設(shè)備上存在兩個虛擬路由器時，不能在駐留于不同VR中的區(qū)段之間自動轉(zhuǎn)發(fā)信息流，即使存在允許信息流的策略。如果希望信息流在虛擬路由器之間傳遞，則需要導(dǎo)出VR之間的路由或在將另一個VR定義為下一跳躍的VR中配置靜態(tài)路由。有關(guān)使用兩個虛擬路由器的詳細(xì)信息，請參閱第7卷:路由。trustvr路由選擇域FinanceTr

8、ustEngDMZUntrustuntrustvr路由選擇域注意:堡壘圖標(biāo)代表安全區(qū)段的接口。路由轉(zhuǎn)發(fā)策略?5第1章:ScreenOS體系結(jié)構(gòu)策略Juniperwks安全設(shè)備用于保護(hù)網(wǎng)絡(luò)的安全，具體做法是先檢查要求從一個安全區(qū)段到另一區(qū)段的通路的所有連接嘗試，然后予以允許或拒絕。在缺省情況下，安全設(shè)備拒絕所有方向的所有信息流。通過創(chuàng)建策略，定義允許在預(yù)定時間通過指定源地點到達(dá)指定目的地點的信息流的種類，您可以控制區(qū)段間的信息流。范圍最大

9、時，可以允許所有類型的信息流從一個區(qū)段中的任何源地點到其它所有區(qū)段中的任何目的地點，而且沒有任何預(yù)定時間限制。范圍最小時，可以創(chuàng)建一個策略，只允許一種信息流在預(yù)定的時間段內(nèi)、在一個區(qū)段中的指定主機(jī)與另一區(qū)段中的指定主機(jī)之間流動，請參閱圖4。圖4:缺省策略每次當(dāng)封包嘗試從一個區(qū)段向另一區(qū)段或在綁定到同一區(qū)段的兩個接口間傳遞時，安全設(shè)備會檢查其策略組列表中是否有允許這種信息流的策略(請參閱第148頁上的“策略組列表”)。要使信息流可以從一個